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(57) Abstract 

A process for transmitting sequences of signals/data from a transmitter 
to a receiver and for authenticating the sequences of signals/data consists of a 
precalculation phase and of a communication ph;ise in which the signals are 
transmitted together with the checking sums. In the precalculation phase, a 
pseudo-random sequence is first generated by means of a cryptographic algorithm 
from a time-variable parameter and other initialisation data. Non-overlapping 
sections (z(l)) of a sequence (z) having each m bits arc associated to signals 
(s(i)), wherein i = 1, 2, ... n, of a signal storage, l unhrr non-overlapping m 
bit sections (t(i)) of the remaining sequence arr selected for coding numbers 
(1, 2, ... MAX). The transmitter transmits the initialisation information and 
the time-variable parameters to the receiver and tlie receiver calculates the 
pseudo-random sequence (Z) and checks the received authentication token (T). 
The transmitter accepts the received signals as being authentic when the received 
authentication tokens match the calculated ones. 

(57) Zusammenfassung 

Das Verfahren zum tibertragen von Signal-/Datenfolgen von einem Sender 
zu einem Empfanger mit Authentifizierung der Signal-/Datenfolgen setzt sich 
aus einer Vorberechnungsphase und einer Kommunikationsphase zusammen, 
in der die Signale zusammen mit den Prufsummen tibertragen werden. In 
der Vorberechnungsphase wird mittels eines kryptographischen Algorithmus 
aus einem zeitvarianten Parameter und sonstigen Initialisierungsdaten zunachst 
eine Pseudozufallsfolge erzeugt. Aus einer Folge (z) werden sich nicht 
ilberschneidende Abschnitte (z(i)) von jeweils m Bits in Signalen (s(i)), i = 1,2, 

... n eines Signalvorrates zugeordnet. Aus der verbleibenden Folge werden weitere sich nicht ilberschneidende m Bit-Abschnitte (t(i)) als 
Codierung der Nummern (1, 2, ... MAX) gewahlt. Der Sender ubertragt die Initial isierungs information und die zeitvarianten Parameter 
an den Empfanger und der Empfanger berechnet seinerseits die Pseudozufallsfolge (Z) und priift das empfangene Authentifikationstoken 
(T). Der Sender akzeptiert die empfangenen Signale. als authentisch, wenn die vom Sender empfangenen Authentifikationstoken mit denen 
Ubereinstimmen, die er berechnet hat. 
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VERFAHREN ZUR UBERTRAGUNG VON SIGNALEN 

Die Erf indung betrifft ein Verfahren zur Ubertragung von 
Signalen nach dem Oberbegrif f des Patentanspruchs 1 . 

Bei der Ubertragung von Signalfolgen spielt die 
authentische Ubertragung der Daten bzw. Signale immer eine 
groBere Rolle. So ist zum Beispiel in ISO/IEC 9797, 
Information technology - Security techniques - Data 
integrity mechanisms using a cryptographic check function 
employing a block cipher algorithm (JTC1/SC27 1994) eine 
Losung fur dieses Problem beschrieben. Dabei sind dem 
Sender und dem Empf anger gleiche geheime Schlussel in 
Verbindung mit einem Verschlusselungsalgorithmus (block 
cipher, encipherment algorithm) oder mit einer 
schliisselabhangigen Einwegf unktion (crypthgraphic check 
function) zugeordnet. Dies kann zum Beispiel auf einer 
Chipkarte erfolgen. Der Sender fiigt jedem Signal (Datum) 
eine kryptgraphische Prufsumme (Message authentication 
code) hinzu, die vom geheimen Schlussel und dem 
kryptographischen Algorithmus (Verschliisselung bzw. 
Einwegf unktion) abhangt. Der Empf anger berechnet 
seiner seits die Prufsumme und erkennt die empfangenen 
Signale bei Gleichheit der Prufsumme als authentisch an. 
Diese Losung hat jedoch folgende Nachteile: Urn eine 
Anderung der Reihenfolge der iibertragenen Daten zu 
erkennen, wird die Prufsumme eines Signals abhangig von der 
Prufsumme der bisher gesendeten Signale berechnet. Auch fur 
den Fall, dafi nach jedem Signal eine Prufsumme gesendet 
wird, ist dies notwendig, da sonst ein Angreifer 
Signalpriif summenpaare aufzeichnen und in geanderter 
Reihenfolge unbemerkt einspielen konnte. Dies erf order t in 
der bekannten Losung fur jede Prufsumme eine Durchfiihrung 
des kryptographischen Algorithmus. Da Reihenfolge und 
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Auswahl der Signale nicht genau im Voraus feststehen, ist 
es auch nicht moglich, die erf orderlichen Priifsummen im 
Voraus zu berechnen. 

In einer zeitkritischen Umgebung kann dies zu Problemen 
fiihren. Die Berechnung des kryptographischen Algorithmus 
kann zum Beispiel auf einer Chipkarte stattfinden* Beim 
Einsatz einer schon evaluierten Chipkarte ist dies 
vorteilhaft, ansonsten ist eine zusatzliche 
Sof twareimplementierung des Algorithmus erneut zu 
evaluieren. Die Kommunikation mit der Chipkarte und die 
Berechnung des kryptographischen Algorithmus auf der 
Chipkarte sind sehr zeitintensiv. 

Der Erfindung liegt deshalb die Aufgabe zugrunde, ein 
Verfahren zur authentischen Signal- bzw. Dateniibertragung 
zu schaffen, das zu einem vorgegebenen Signalvorrat und 
einer vorgegebenen maximalen Anzahl zu iibertragender 
Signale die Berechnung von Authentif ikationsf ormationen 
vorab ermoglicht, so daB in der Ubertragungsphase aus 
diesen schon vorher berechneten Inf ormationen einfach und 
schnell Priifsummen zu den gesendeten Signalen bzw. Daten 
berechnet werden konnen. 

Die erf indungsgemaBe Losung ist im Kennzeichen des 
Patentanspruchs 1 charakterisiert . 

Weitere Losungen der Aufgabe bzw. Ausgestaltungen des 
Erf indungsgegenstandes sind in den kennzeichnenden Teilen 
der Patentanspriiche 2 bis 10 charakterisiert, 

Durch die bewuBte Einfiihrung einer Vorberechnungsphase und 
einer Kommunikationsphase in das Ubertragungsverf ahren ist 
es jetzt moglich, die Berechnung von Authentif ikat ions - 
inf ormationen schon vor der eigentlichen Ubertragungsphase 
durchzuf iihren und wahrend der Ubertragungsphase konnen nun 
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aus diesen schon vorher berechneten Informationen einfach 
unci schnell Priifsummen zu den gesendeten Signalen berechnet 
werden. Die Losung der Aufgabe besteht in einem Verfahren 

• aus einer Vorberechnungsphase und einer Kommunikations- 
5 phase, in der die Signale bzw. Daten zusammen mit den 

* Priif summen ubertragen werden* In der Vorberechnungsphase 
werden mittels kryptographischer Algorithmen, zum Beispiel 
einer Blockchiffre im "Output -Feedback-Mode" aus dem 
Zeitvariantenparamenter (Sequenznuramer, Zeitmarke und 

10 sonstigen Initialisierungsdaten) zunachst eine 

Pseudozuf allsf olge Z erzeugt. Als Beispiel wird m = 16, 32 
oder 64 fiir einen Sicherheitsparameter in angenommen. Aus 
der Folge Z werden jetzt sich nicht uberschneidende 
Abschnitte z(i) von jeweils m Bit den Signalen s[i], 

15 i - 1, 2, n des Signalvorrates zugeordnet. Aus der 

verbleibenden Folge werden weitere sich nicht 
uberschneidende m Bit Abschnitte t[i] als Codierung der 
Nummern 1, 2, . .. MAX gewahlt, wobei MAX die maximale 
Anzahl der zu iibertragenden Signale ist. 

20 

Wenn in der anschlieBenden Kommunikationsphase eine 
Sender authent if ikation erforderlich ist, wird zunachst dem 
Ablauf der "One pass authentication" gemaB den 
Verof f entlichungen ISO/IEC 9798-2, Information technology - 

25 Security techniques - Entity authentication Mechanisms - 

Part 2 : Mechanisms using symmetric encipherment algorithms 
( JTC1 /SC27 1994) und ISO/IEC 9798-4, Information technology 
- Security techniques - Entity authentication Mechanisms - 
Part 4 : Mechanisms using a cryptographic check function 

30 (JTC1/SC27 1995) gef olgt . Der Sender iibertragt die 

Initialisierungsformation und die zeitvarianten Parameter 
an den Empfanger und als Authentisierungstoken sendet er 
eine Anzahl bisher nicht verwendeter Bits aus Z an den 
Empfanger. Der Empfanger berechnet seinerseits die 

35 Pseudozuf allsf olge Z und uberpriift das empfangene 

Authentisierungstoken. Die wahrend der Signaliibertragung 
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vom Empfanger empfangenen Signale werden als authentisch 
akzeptiert, wenn die empfangenen Authentif ikat ions token mit 
denen, die er berechnet hat, iibereinstimmen. Dariiberhinaus 
sind noch Modif ikationen des Verfahrens moglich, die in der 
nachfolgenden Beschreibung noch im Einzelnen beschrieben 



Die Erf indung wird nun anhand von in der Zeichnung 
dargestellten Ausf iihrungsbeispielen naher beschrieben. In 
der Zeichnung bedeuten: 



Das Verfahren besteht aus einer Vorberechnungsphase und 
einer Kommunikationsphase , in der die Signale zusammen mit 
den Priifsummen ubertragen werden. 

Vorbereitungsphase : 

Mittels des kryptographischen Algorithmus (zum Beispiel 
einer Blockchiffre im "Output -Feedback-Mode" gemaB ISO /TEC 
10116, Information Processing - Modes of Operation for an 
n-bit Block Cipher Algorithm (JTC1/SC27 1991)) wird aus 
einem zeitvarianten Parameter ( Sequenznummer , Zeitmarke, 
gemaB ISO/IEC 9798-2, Information technology - Security 
techniques - Entity authentication Mechanisms - Part 2: 
Mechanisms using symmetric encipherment algorithms 
(JTC1/SC27 1994)) und sonstigen Initialisierungsdaten 
zunachst eine Pseudozuf allsf olge Z erzeugt. Es sei m ein 
Sicherheitsparameter , zum Beispiel M = 16, 32 oder 64. Aus 
der Folge Z werden jetzt sich nicht uberschneidende 
Abschnitte z[i] von jeweils m Bits den Signalen s[i], i = 
1 / 2 , . . . , n des Signalvorrates zugeordnet . Aus der 



werden . 



Fig. 1 



ein FluBdiagramm fur die prinzipielle 
Operationsfolge im Empfanger und 



Fig. 2 



ein FluBdiagramm fur die prinzipielle 
Operationsfolge in einem Sender. 
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verbleibenden Folge werden weitere sich nicht 
iiberschneidende m Bit Abschnitte t[i] als Codierung der 
Nummern 1, 2, . „ .MAX gewahlt, wobei MAX die maximale Anzahl 
der zu iibertragenden Signale ist. 

Kommunikationsphase : 

a) Senderauthentif ikation: 

Falls eine Senderauthentif ikation erforderlich ist, wird 
zunachst dem Ablauf der "One pass authentication" gemaB den 
Verof f entlichungen ISO/IEC 9798-2, Information technology - 
Security techniques - Entity authentication Mechanisms - 
Part 2: Mechanisms using symmetric encipherment algorithms 

(JTC1/SC27 1994) und ISO/IEC 9798-4, Information technology 
- Security techniques - Entity authentication Mechanisms - 
Part 4: Mechanisms using a crpytographic check function 

(JTC1V-SC27 1995) gefolgt. Der Sender iibertragt die 
Initialisierungsinf ormation und die zeitvarianten Parameter 
an den Empf anger. Als Authentisierungstoken sendet er eine 
Anzahl bisher nicht verwendeter Bits aus Z an den 
Empf anger, Der Empf anger berechnet seinerseits die 
Pseudozuf allsf olge Z und pruft das empfangene 
Authentisierungstoken . 

b) Signalubertragung und -authentif ikation: 

Sei s[k[1]] das erste Signal, das libertragen wird, dann 
sendet der Sender zur Authentif ikation des ersten Signals 
T(1) :=f(z[k[1] ] , t [ 1 ] ) , wobei f eine schnell berechenbare 
Verknupfung der beiden Werte z[k[1]] und t[1] ist* Ein 
Beispiel fur f ist die bitweise XOR Verknupfung. 

Fur i = 2, 3, i maximal MAX, sei s[k[i]] das i-te 

Signal, das ubertragen wird. Zur Authentif ikation dieses 
Signals sendet der Sender das Token T (i) :=f (z [k [i] ] , t [i] ) . 
Der Empf anger fiihrt jeweils dieselben Berechnungen aus und 
akzeptiert die empfangenen Signale als authentisch, wenn 
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die vom Sender empfangenen Authentif ikationstoken mit 
denen,. die er berechnet hat, libereinstimmen. 

Die Reihenfolge der ubertragenen Signale wird durch den 
Einflufi der Werte t[i] gesichert. 

Eine Variante der Signalauthentif ikation besteht im 
folgenden: Wenn es erforderlich ist, das 

Authentif ikationstoken T(i) des i-ten Signals s[k[i-1]] 
abhangig von alien bisher gesendeten Signalen 

s[k[1]], , s[k[i-1]] zu wahlen, kann zur Authentif ikation 

des i-ten Signals s[k[i]] das Token 



Die Berechmmg des Authentif ikationstokens T(i) erfordert 
somit zweimal die Berechnung von f . 

Ein Beispiel fur die Anwendung eines derartigen Verfahrens 
ist der authentische Verbindungsaufbau beim Telef onieren. 
Beim Senden der Wahltone ist nicht bekannt, ob noch ein 
weiterer Wahlton folgt. Deshalb erscheint es erforderlich, 
jeden Wahlton in der ihm nachf olgenden Pause durch die 
Ubertragung eines Tokens zu authentisieren. Beim 
Mehrfrequenzwahlverf ahren betragt die Lange der Wahltone 
mindestens 65ms und die Pausenlange zwischen den Wahltonen 
mindestens 80ms, Mit der Authentif ikation, wie sie hier 
beschrieben ist, ist auch diese kurze Zeitdauer von 145ms 
zur Authentif ikation ohne Probleme moglich. 

Zunachst soil anhand des FluBdiagramms nach Fig. 1 die 
Operations- oder Schrittfolge des Empfangers beschrieben 
werden . 



T(i) = f(t[i], F(i)) gesendet werden, wobei 

F(1) = s[k[1]] und 

F(i) = f (s[k[i]],F(i-1)) fur i > 1. 



In dem Telef onbeispiel ist der Sender das Telef on, 
gegebenenf alls ausgestattet mit Kryptomodul und/oder 
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Chipkarte, und der Empf anger das Telefonnetz, zum Beispiel 
die nachste Vermittlungsstelle. 

E1 und S1 : Hier wird der zeitinvariante Parameter zwischen 
dem Empf anger und Sender synchronisiert . Der zeitinvariante 
Parameter kann eine Sequenznummer oder Zeitmarke sein, die 
synchronisiert vorliegt* Dieser Parameter darf 
gegebenenf alls auch zur Synchronisation im Klartext oder 
verschliisselt vom Sender an den Empf anger gesendet werden. 
Im erf indungsgemafien Verfahren ist es sinnvoll, daB der 
Sender den zeitinvarianten Parameter schon kennt, bevor ein 
Verbindungsaufbau gewiinscht wird, urn die s[], t[] 
vor zuberechnen . 

E2 und S2: Hier berechnen Sender und Empf anger zunachst 
eine Zufallsfolge PRS (Pseudo-Random-Sequence) der Lange 
m (smax+tmax) Bit, wobei 

m: Sicherheitsparameter , im Beispiel m:=32. 

smax: Maximale Anzahl der unterschiedlichen Signale (Anzahl 
der Elemente des Alphabets/Signalvorates) . Im Telefon- 
beispiel die Ziffern 1..9 und Spezialsymbole wie #, und 
andere . 

tmax: Maximale Anzahl der Signale, die in einem Durehgang 
authentisiert werden sollen. Im Telefonbei spiel max. Lange 
einer Telef ormummer , max. Anzahl von Ziffern und 
Spezialsymbolen fur einen Verbindungsaufbau. 

Danach werden jeweils sich nicht uberschneidende Abschnitte 
von m Bits dieser Zufallsfolge PRS den m Bit GroBen s[1], 
s[2], s[smax], t[1], t[2], t[tmax] zugewiesen: 

s[1] = Bit 1 bis Bit m der PRS 
s[2] = Bit m+T bis Bit 2*m der PRS 
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s [max] = Bit (smax-1 ) *m+1 bis Bit smax*m der Zufallsfolge 
PRS 

t[1] = Bit smax*m+1 bis Bit (smax+1)*m der 

Zufallsfolge PRS 
t[tmax] = Bit (smax+tmax-1 ) *m+1 bis Bit (smax+tmax) *m der 

Zufallsfolge PRS 

Anhand von Fig. 2 wird nachfolgend die Operations- oder 
Schrittfolge fur den Sender beschrieben. 

S3: Der Sender wartet auf ein Signal w, das authentisch 
iibertragen werden soil, w wird als natiirliche Zahl 
zwischen 1, 2, <>•., smax interpretiert , um die 
Abbildung w -> s [w] einfach zu halt en. 

S4: Der Sender sendet das i-te Signal w zusanunen mit dem 
Authentif izierungs token f (s [w] , t [i] ) . Im 
Telefonbeispiel ist das Token f (s [w] , t [i] ) =s [w] +t [i] , 
das bitweise XOR von s [w] und t[i] . 

S5: S3 und S4 werden solange iteriert wiederholt, bis 
entweder keine Signale mehr authentisch iibertragen 
werden sollen oder die maximale Anzahl von Signalen, 
die mit diesem Vorrat an vorberechneter Zufallsfolge 
PRS authentisiert werden konnen, erreicht ist. 

S6: Im Telefonbeispiel wartet der Sender jetzt auf den 
Verbindungsaufbau des Empf angers. 

E3, E4 und E5: Solange neue Signale mit zugehorigen 

Authentisierungstoken empfangen werden, priift der 
Empf anger, ob die von ihm berechneten 
Authentisierungstoken mit den empfangenen 
iibereinstimmen . 
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E6: Falls alle Token ubereinstimmen, wercien die 

empfangenen Signale als authentisch akzeptiert. Im 
Telefonbeispiel erfolgt jetzt der Verbindungsaufbau. 

E7: Bei nicht erf olgreicher Authentisierung erfolgt kein 
Verbindungsauf bau . 
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PATENTANSPRUCHE 

1 • Verfahren zum Ubertragen von Signal-/Datenf olgen 
zwischen einem Sender unci einem Empf anger mit 
5 Authentif izierung der ubertragenen Signal-/Datenf olgen 

durch Verwendung von Schliisseln und kryptographischen * 
Algorithmen, die sowohl auf der Sender- als auch auf 
der Empf anger seite implement iert sind, dadurch 
gekennzeichnet , 

10 

daB in einer Vorberechnungsphase mittels krypto- 
graphischer Algorithmen Daten abhangig von einem 
geheimen Schlussel berechnet werden, aus denen in 
einer nachf olgenden Ubertragungsphase 
15 Authentif ikationstoken fur die Signale berechnet 

werden, die sowohl die Signale als auch die 
Reihenfolge des Sendens der Signale authentisierenJ 

2 . Verfahren nach Patentanspruch 1 , dadurch 
20 gekennzeichnet , 



daB in der Vorbereitungsphase mittels eines 
kryptographischen Algorithmus eine Pseudozuf allsf olge 
(PRS) erzeugt wird, 

daB aus dieser Folge bestimmte Abschnitte als 
Codierung sowohl der Signale des Signalvorrates als 

auch der Sendestellen (1, 2, MAX) verwendet werden 

und 

daB das Authentif ikationstoken des Signals, das an i- 
ter (1=1, 2, MAX) Stelle gesendet wird, 

abhangig von der -Codierung des Signals und von der 
Codierung der Sendestelle (i) berechnet wird. 
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3. Verfahren nach Patentanspruch 2, daciurch 
gekennzeichnet , 

daB das Authentif ikationstoken (T) des Signals, das an 
i-ter (1=1, 2, MAX) Stelle gesendet wird, die 

bitweise XOR-Verknupf ung oder eine aguivalente 
logische Funktion der Codierung des jeweiligen Signals 
und der Codierung der Sendestelle (i) ist* 

4. Verfahren nach Patentanspruch 1, dadurch 
gekennzeichnet , 

daB in der Vorberechnungsphase mittels eines 
kryptographischen Algorithmus eine Pseudozuf allsf olge 
(PRS) erzeugt wird, 

daB aus dieser Folge bestimmte Abschnitte als 
Codierung sowohl der Signale des Signalvorrates als 
auch der Sendestellen (1, 2, MAX) verwendet 

werden und 

daB das Authentif ikationstoken des Signals, das an, i- 
ter Stelle (i = 1 , 2, • MAX) gesendet wird, 
abhangig von der Codierung aller bisher gesendeten 
Signale (1 , 2, i) und von der Codierung der 

Sendestelle (i) berechnet wird. 

5. Verfahren nach einem der Patentanspriiche 1 bis 4, 
dadurch gekennzeichnet, 

daB das Authentif ikationstoken (T) des Signals, das an 
i-ter Stelle (i = i , 2, ... MAX) gesendet wird, die 
bitweise XOR-Verkniipf ung oder eine aquivalente 
logische Verkntipfung der Codierung aller bisher 
gesendeten Signale (1, 2, ... i) und der Codierung der 
Sendestelle (i) ist. 



12 



PCT/EP97/05081 



Verfahren nach einem der Patentanspruche 1 bis 5, 
dadurch gekennzeichnet , 

daB der in der Vorberechnungsphase verwendete 
kryptographische Algorithmus eine Blockchiffre ist. 

Verfahren nach Patentanspruch 6, dadurch 
gekennzeichnet , . 

daB als Blockchiffre der bekannte "Data Encryption 
Standard" verwendet wird. 

Verfahren nach einem der Patentanspruche 6 bzw. 7, 
dadurch gekennzeichnet , 

daB die Pseudozuf allsf olge (PSR) durch Betreiben der 
Blockchiffre im bekannten "Output -Feedback-Mode" 
erzeugt wird. 

Verfahren nach dem Oberbegriff des Patentanspruchs 1 
bzw. nach einem der Patentanspruche 2 bis 8, dadurch 
gekennzeichnet, 

daB in der Vorbereitungsphase zusatzlich ein Token (T) 
zur Authentif ikation des jeweiligen Senders berechnet 
wird, das nachfolgend iibertragen wird und den 
Empf anger zur Authentif ikation des Senders initiiert. 

Verfahren nach einem der Patentanspruche 1 bis 9, 
dadurch gekennzeichnet , 

daB die Reihenfolge der iibertragenen Signale durch die 
sich nicht iiberschneidenden m Bit Abschnitte (t(i)) 
gesichert ist. 
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